|
| Login system Fra : Michael Bested |
Dato : 14-11-01 12:40 |
|
Jeg står og skal lave et login system....
Jeg har nogle forskellige muligheder at lave det på, men vil lige
høre hvad i mener ville være mest optimalt.
Det skal bruges til et større system, på tværs af flere vinduer og
sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
og kundeID
1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk (setcookie();)
2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
oplysninger i database - på en eller anden måde.
3) Medføre oplysninger i alle links, f.eks. <a
href="ting.php?brugernavn=$brugernavn&....">
Måske kunne der laves et eller andet med sessions, men det skal
vi nok glemme i første omgang.
--
Michael Bested
Dansk Master Web Support
support@danskmasterweb.dk
Tlf: 97 85 56 58
| |
Niels (14-11-2001)
| Kommentar Fra : Niels |
Dato : 14-11-01 12:45 |
|
"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
Du bør aldrig gemme password i en cookie.... Nøjes med BrugerID og evt.
brugernavn.
--
Niels Henriksen
Systemudvikler
- www.ryttersnak.dk
| |
Thomas Lindgaard (14-11-2001)
| Kommentar Fra : Thomas Lindgaard |
Dato : 14-11-01 13:27 |
|
Davs
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
Jeg sitter lige og prøver at få lov til at logge ind i mit eget system - det
er ikke helt ligetil :)
Det ser således ud:
Ved login smides en cookie, som indeholder: <bruger_id> : crypt(password) :
<timestamp> : <brugers IP>
Når brugeren foretager sig noget sker det så følgende:
Cookie checkes ved at sammenholde timestamp og IP i den med tilsvarende
værdier i databasen - hvis de ikke stemmer overens, er der ugler i mosen.
Bruger checkes naturligvis ud fra ID og det crypt'erede password. Password i
cookien kan ikke umiddelbart forfalskes, da man så både skal kende password,
og det salt crypt er blevet kørt med...
Derudover er der noget timestamp og IP-check...
Håber det gav folket nogle ideer - og hvis der er huller (eller redundans),
så vil jeg gerne vide det :)
/Thomas
| |
Rasmus Windfeldt (15-11-2001)
| Kommentar Fra : Rasmus Windfeldt |
Dato : 15-11-01 00:50 |
|
Hej
Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
har lavet.
Det fungerer i store træk på følgende måde.
1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
4) tekststrengen sendes til brugeren i en cookie
5) Hver gang brugeren går ind på en ny underside opfriskes cookien
6) Hvis man kliker på "log ud" slettes cookien på maskinen.
Hvilke huller er der så?
Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en ny
bruger kunne komme ind på siden så længe cookien ikke er udløbet. (kan nok
fikses med noget javascript)
Denne fremgangs måde kan også bruges med sessionid. Har set det gjort, men
har ikke selv prøvet.
Mvh Rasmus
"Michael Bested" <michael@bested.nu> wrote in message
news:9stl29$i0p$1@sunsite.dk...
> Jeg står og skal lave et login system....
>
> Jeg har nogle forskellige muligheder at lave det på, men vil lige
> høre hvad i mener ville være mest optimalt.
>
> Det skal bruges til et større system, på tværs af flere vinduer og
> sådan. Der skal gemmes 3 oplysninger - brugernavn, adgangskode
> og kundeID
>
> 1) Gemme alle 3 oplysninger i 3 cookies på brugerens harddisk
(setcookie();)
>
> 2) Gemme et ID i en cookie på brugerens harddisk, med tilhørende
> oplysninger i database - på en eller anden måde.
>
> 3) Medføre oplysninger i alle links, f.eks. <a
> href="ting.php?brugernavn=$brugernavn&....">
>
> Måske kunne der laves et eller andet med sessions, men det skal
> vi nok glemme i første omgang.
>
> --
> Michael Bested
> Dansk Master Web Support
> support@danskmasterweb.dk
> Tlf: 97 85 56 58
>
>
| |
Niels Andersen (15-11-2001)
| Kommentar Fra : Niels Andersen |
Dato : 15-11-01 22:01 |
|
"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...
Jeg bytter lige lidt rundt på rækkefølgen af citaterne. :)
> Hvilke huller er der så?
Tjah, jeg kan da komme i tanker om lidt...
> 1) Brugeren identificere sig med passwd og usrname.
Her er der masser af plads til huller. :)
Men lad os bare sige at kodeordet er et "godt" kodeord, og det bliver
sendt på en måde, så det ikke umiddelbart bliver cachet.
> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
Tilfældig, og ikke noget med at blande brugernavn og kodeord, ik'?
> 4) tekststrengen sendes til brugeren i en cookie
> Hvis en bruger ikke logger af, men blot lukker browservinduet, vil en
ny
> bruger kunne komme ind på siden så længe cookien ikke er udløbet.
Tjah, behøver jeg at sige, at dette er et hul?
Hvorfor dog ikke bare bruge en sessions-cookie?
> (kan nok fikses med noget javascript)
Næh. (tillader jeg mig at udtale, uden at gennemtænke det)
> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien
Dette giver egentlig kun mening, hvis du har en rigtig god grund til at
mene, at serverens og klientens ur er nogenlunde synkroniseret.
> Denne fremgangs måde kan også bruges med sessionid. Har set det gjort,
men
> har ikke selv prøvet.
"...med en session". Det er langt nemmere.
1) Brugeren identificere sig med passwd og usrname.
2) pass og usr tjekkes i DB'en
3) Det noteres i sessionen, at brugeren er logget ind.
4)
5)
6) Hvis man kliker på "log ud" slettes notatet i session.
--
Mvh.
Niels Andersen
| |
Michael Bested (16-11-2001)
| Kommentar Fra : Michael Bested |
Dato : 16-11-01 15:01 |
|
"Rasmus Windfeldt" <get2ilet@get2net.dk> wrote in message
news:XdTI7.250$b%5.9514@news.get2net.dk...
> Jeg bruge selv et adgangskontrolsystem på min side, som en af mine venner
> har lavet.
> Det fungerer i store træk på følgende måde.
> 1) Brugeren identificere sig med passwd og usrname.
> 2) pass og usr tjekkes i DB'en
> 3) Der genereres en tilfældig tekststreng, som gemmes i DB'en
> 4) tekststrengen sendes til brugeren i en cookie
> 5) Hver gang brugeren går ind på en ny underside opfriskes cookien
> 6) Hvis man kliker på "log ud" slettes cookien på maskinen.
Det ser ret fornuftigt ud, og den måde har jeg så tænkt mig at bruge!
Men... Hvad hvis brugeren ikke har cookies slået til i sin browser ?
--
Michael Bested
michael@bested.nu
www.bested.nu
| |
|
|